CVE-2025-23040 in GitHubИнформация

Сводка

по VulDB • 30.05.2026

GitHub Desktop — это приложение для GitHub на базе Electron с открытым исходным кодом, предназначенное для разработки с использованием Git. Злоумышленник, убедив пользователя клонировать репозиторий напрямую или через подмодуль, может получить доступ к учетным данным пользователя с помощью злонамеренно сформированного удаленного URL-адреса. GitHub Desktop полагается на Git для выполнения всех операций, связанных с сетью (таких как клонирование, получение и отправка данных). Когда пользователь пытается клонировать репозиторий, GitHub Desktop вызывает `git clone`, и когда Git встречает удаленный репозиторий, требующий аутентификации, он запрашивает учетные данные для этого удаленного хоста у GitHub Desktop с использованием протокола git-credential. Используя злонамеренно сформированный URL-адрес, можно вызвать ситуацию, при которой запрос учетных данных, поступающий от Git, будет неправильно интерпретирован GitHub Desktop, в результате чего он отправит учетные данные для другого хоста, отличного от того, с которым Git в данный момент взаимодействует, что позволит осуществить утечку секретных данных. Имя пользователя GitHub и токен OAuth, либо учетные данные для других удаленных Git-репозиториев, хранящиеся в GitHub Desktop, могут быть неправильно переданы на несвязанный хост. Пользователям следует обновить GitHub Desktop до версии 3.4.12 или выше, которая устраняет эту уязвимость. Пользователи, подозревающие, что они могут быть затронуты, должны отозвать все соответствующие учетные данные.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

10.01.2025

Раскрытие

15.01.2025

Модерация

принято

Вход

VDB-292047

EPSS

0.00747

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!